クライアント用のウェブサイトとメールアカウントをホストするサーバーがいくつかあります。
今日、サーバーの1つに非常に大きな負荷がかかっていることがわかりました。メールログを見ると、奇妙なメールアドレスに多くの送信が行われています。サーバーからスパムを送信しているようです。しかし、送信アカウントが誰であるかがわかりませんでした。
そのアカウントを閉鎖できるように、送信者を見つけるにはどうすればよいですか?
キュー内の送信メールの1つの例を次に示します。
[root @ server11 mqueue] #cat qfp96I9K1r020960 V8 T1317924562 K1318068176 N27 P3934747 I9 /3/119387 MDeferred Fws $_ localhost [127.0.0.1] $ rSMTP $ sUser $ {daemon_flags } $ {if_addr} 127.0.0.1 S rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: MDeferred rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: rRFC822; [email protected] RPFD: MDeferred rRFC822; [email protected] RPFD: H?P?Return-Path: H ?? Received:from User(localhost [127.0.0.1]) [サーバー名](8.13.1/8.13.1)、SMTP ID p96I9K1r020960; 2011年10月7日金曜日05:09:22 + 1100 H?M?Message-Id: H ?? From: "Match.com" H ?? Subject:Your Match Account Has Holded-Re-Connect Now H ?? Date:Thu、6 Oct 2011 11:12:59 -0700 H ?? MIME-Version:1.0 H ?? Content-Type:text/html; charset = "Windows-1251" H ?? Content-Transfer-Encoding:7bit H ?? X-Priority:3 H ?? X-MSMail-Priority:Normal H ?? X -メーラー:Microsoft Outlook Express 6.00.2600.0000 H ?? X-MimeOLE:Microsoft MimeOLE V6.00.2600.0000 によって作成されました。
/ var/pool/mqueueフォルダーをクリーンアップすると、すぐに新しいスパムメールでいっぱいになります。 sendmailサービスを再開すると、スパムメールでいっぱいになるのをやめましたが、数時間後に戻ってきます。これは何を示していますか?ありがとう。
アプリケーションの設定方法によっては、サーバー上で実行中のすべてのプロセスを調べて、どのユーザーアカウントがCPUを占有しているかを確認することで、問題のあるユーザーアカウントを確認できる場合があります。このようなもの:
ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10
うまくいけば、それは既知の特権を悪用するユーザースペースプロセスと同じくらい単純であり、ワイプして再構築する必要があるルート化されたボックスのようなものではありません。火炎放射器の準備をします。